Trust Center

Todo lo que necesitas saber sobre la seguridad, privacidad y conformidad de nuestros productos de software.
Trust Center

En InVision AG (InVision), nos tomamos la seguridad extremadamente en serio. Somos conscientes de que nuestra plataforma almacena y procesa datos sensibles de nuestros clientes, como nombres de empleados, detalles de inicio de sesión u horas de trabajo. En 2011 lanzamos injixo, la primera aplicación de WFM (workforce management) en la nube, y desde el principio comprendimos la importancia del deber de diligencia que tenemos para con los datos de nuestros clientes.

Nuestra sede se encuentra en Alemania, un país a la vanguardia en los temas de seguridad de datos y legislación de privacidad. Las empresas alemanas han tenido que ofrecer las mejores provisiones de seguridad posibles desde antes de que el RGPD entrara en vigor, y este liderazgo continúa hoy en día.

InVision combina unas provisiones de seguridad de clase empresarial con procesos empresariales que garantizan que nuestras aplicaciones, sistemas y redes protejan tus datos en todo momento. Hasta hoy no hemos sufrido ninguna brecha de seguridad, y consideramos que mantener este récord es una misión central de nuestra empresa. Por esta razón, organizaciones de primera categoría de distintos sectores especialmente preocupados por la seguridad, como bancos, compañías de seguros y gobiernos, nos confían los datos de sus empleados día a día.

En esta página, detallamos nuestras provisiones de seguridad.

Conformidad

InVision cumple las legislaciones de privacidad y protección de datos de todos los países en los que operamos y donde se usan nuestros productos. Estamos orgullosos de adoptar las mejores prácticas del sector y de cumplir estándares internacionales como la norma ISO 27001.

ISO/IEC 27001

InVision ha obtenido la certificación ISO/IEC 27001:2013, y se somete anualmente a auditorías independientes para evaluar nuestra conformidad.

El sistema de gestión de la seguridad de la información (ISMS) de InVision cubre la provisión, operación, mantenimiento y gestión de la plataforma injixo. Este detalla las obligaciones que tienen los empleados de InVision, así como proveedores externos, que creen, mantengan, almacenen, accedan, procesen o transmitan información en nuestros espacios de desarrollo y pruebas, así como en el espacio de producción al que acceden los clientes.

Nuestro certificado ISO 27001 está disponible aquí.

RGPD

InVision cumple con todos los aspectos del Reglamento General de Protección de Datos (RGPD) de la UE y del Reino Unido Los detalles de nuestra conformidad con el RGPD están explicados en nuestro acuerdo de procesamiento de datos:

Inglés | Alemán | Francés

Oficial de protección de datos

InVision emplea un oficial de protección de datos, con quien se puede contactar en privacy@invision.de.

Derechos de los interesados

En InVision ayudamos a nuestros clientes a respetar los derechos de los interesados, a saber, el derecho a solicitar que se elimine información personal, derechos de acceso y portabilidad de datos. Permitimos que los clientes de InVision soliciten la eliminación de datos de sus empleados.

Amazon Web Services

InVision aloja todos los datos de clientes en los centros de datos de Amazon Web Services (AWS), que han obtenido las certificaciones ISO 27001, PCI DSS Service Provider Level 1 y/o cumplen el estándar SOC 2. Aquí hay más información disponible sobre el cumplimiento de los estándares de seguridad de AWS.

Subprocesadores

El uso de la plataforma injixo de InVision implica que los datos de los clientes también puedan ser procesados por los subprocesadores de InVision. La política de privacidad de InVision incluye una lista de los procesadores externos que InVision emplea:

Inglés | Alemán | Francés | Italiano | Español

Compromisos contractuales

Términos y condiciones generales

Los deberes, derechos y obligaciones de InVision y sus clientes con respecto a la plataforma injixo están regulados por los Términos y condiciones generales de InVision Los Términos y condiciones generales están disponibles en los siguientes enlaces:

Inglés (EE. UU.) | Inglés (Reino Unido) | Alemán | Francés | Italiano | Español

Acuerdo de procesamiento de datos

Los términos bajo los cuales InVision procesa los datos de sus clientes se pueden consultar en nuestro Acuerdo de procesamiento de datos, que define las categorías de datos procesados, su retención y borrado, entre otras cuestiones. Se puede consultar en los siguientes enlaces:

Inglés | Alemán | Francés

Medidas técnicas y organizativas

InVision publica una serie de medidas técnicas y organizativas que describen las medidas tomadas para salvaguardar la seguridad de los datos de nuestros clientes. Dichas medidas se pueden consultar en el anexo 2 del Acuerdo de procesamiento de datos de InVision

Inglés | Alemán | Francés

Seguro de riesgos cibernéticos

Nuestro seguro de responsabilidad civil incluye la cobertura de reclamaciones por cuestiones cibernéticas. El certificado del seguro está disponible bajo petición.

Seguridad del producto

En InVision, la seguridad es un tema principal. Es una parte integral del recorrido del producto, desde el diseño hasta la implementación y el uso. Hemos desarrollado un ciclo de desarrollo seguro de productos que descubre y soluciona vulnerabilidades de seguridad de forma proactiva y retrospectiva.

Ciclo de desarrollo seguro de productos

El ciclo de desarrollo seguro de productos de InVision se basa en prácticas de seguridad probadas e implementa una serie de controles robustos en los componentes de software, código, bibliotecas y servicios que se usan en InVision.

Algunas de las verificaciones incluidas en este ciclo son:

  • Un proceso de aprobación con varios pasos para los cambios en el entorno de producción
  • Pruebas de seguridad de aplicaciones estáticas (SAST)
  • Análisis de composición de software (SCA)
  • Pruebas automatizadas y manuales de seguridad de aplicaciones dinámicas (DAST)
  • Escaneo de dependencias de terceros

Prueba de penetración

Además de las pruebas internas que llevamos a cabo con regularidad, una vez al año contratamos a una respetada empresa externa para realizar pruebas de penetración. Estas pruebas rigurosas simulan el comportamiento de un actor hostil y examinan nuestros sistemas y aplicaciones en busca de errores y vulnerabilidades. Los resultados de las pruebas de penetración están disponibles y pueden ser solicitados mediante este formulario.

Seguro por diseño

La plataforma injixo de InVision incluye múltiples funcionalidades que mejoran la seguridad y privacidad de los datos almacenados.

Seguridad de autenticación

Ofrecemos nombre de usuario y contraseña o inicio de sesión único (SSO).

Lista blanca de direcciones IP

Todas las cuentas de injixo tienen la opción de restringir el acceso a usuarios con base en rangos específicos de direcciones IP. Esta funcionalidad solo permite que inicien sesión en injixo aquellos usuarios que accedan desde las direcciones IP designadas, lo que garantiza una mayor seguridad. Este es un servicio de pago que está disponible para todos nuestros clientes.

Política de contraseñas

Las contraseñas deben tener una longitud mínima y deben usar al menos tres de los cuatro tipos de caracteres disponibles: minúsculas, mayúsculas, números y caracteres especiales.

Autenticación de dos factores (2FA)

InVision ofrece la autenticación de dos factores para todos los usuarios.

Almacenamiento de contraseñas

Las contraseñas están protegidas frente a ataques mediante robustos algoritmos de cifrado y otras técnicas como el salting.

Control de acceso basado en roles y permisos

Los administradores pueden implementar autorizaciones y derechos de acceso a datos específicos para cada usuario.

Aislamiento de tenants

InVision garantiza que los datos de cada cliente se almacenan y procesan separados de los datos de los demás clientes. Para ello, utilizamos la separación lógica de clientes en un entorno de múltiples tenants. A cada cliente se le asigna un identificador único.

Seguridad de la infraestructura

La plataforma injixo de InVision es un producto de software como servicio (SaaS) y se ejecuta en la nube. Dado que injixo aloja datos sensibles de nuestros clientes, hemos implementado muy altos estándares de seguridad en la nube. Nos aseguramos de que se cumplan dichos estándares en todo momento para mantener tus datos seguros.

Seguridad del perímetro

Las medidas de seguridad física en vigor en las sedes de InVision se describen en el Anexo 2, párrafo I.2 de nuestro Acuerdo de procesamiento de datos.

Inglés | Alemán | Francés

InVision utiliza los centros de datos de Amazon Web Services. Los servicios de la infraestructura de AWS incluyen energía de respaldo y equipamiento de supresión de incendios. Aquí se puede consultar más información sobre las instalaciones de AWS. Las medidas de seguridad en las sedes de AWS incluyen guardias de seguridad, vallas, feeds de seguridad, y tecnología de detección de intrusiones, entre otras. Aquí se puede consultar más información sobre la seguridad física de AWS.

Cifrado de datos

Cifrado en reposo

Todos los datos de los clientes están cifrados en reposo. Esto se refiere a los datos en tiempo real y a las copias de seguridad. Las claves de cifrado se almacenan de forma segura en AWS KMS.

Cifrado en tránsito

Todos los datos que se transfieren a través de redes inseguras son cifrados en tránsito con el protocolo seguridad de la capa de transporte (Transport Layer Security o TLS), usando suites de cifrado seguras. InVision también usa métodos como el HTTP Strict Transport Security (HSTS) para mantener la integridad de los canales cifrados. Invitamos a nuestros clientes a usar herramientas como Qualys' SSL Labs and Security Headers para verificar los cifrados TLS y algoritmos que usamos en InVision.

Continuidad de negocio

InVision ha documentado una política de continuidad de negocio que regula nuestro plan de recuperación ante desastres. Nuestro objetivo es garantizar que tus datos estén disponibles siempre, incluso tras un corte de servicio severo. El objetivo de disponibilidad está descrito en nuestros Términos y condiciones generales. Desde el lanzamiento de nuestro plataforma injixo en 2011 hemos superado significativamente este objetivo. Nuestros Términos y condiciones generales están disponibles en los siguientes enlaces:

Inglés (EE. UU.) | Inglés (Reino Unido) | Alemán | Francés | Italiano | Spanish

InVision mantiene una página accesible públicamente que monitoriza el estado del sistema. Esta incluye detalles de la disponibilidad del sistema, mantenimiento programado, historial de incidentes de servicio y eventos de seguridad relevantes. La página está disponible aquí.

Políticas de seguridad

InVision ha desarrollado y mantiene un conjunto de políticas de seguridad en las que nuestra operación se basa.

Los siguientes son algunos ejemplos de cómo implementamos dichas políticas:

Concienciación, formación y garantías de seguridad

Todos los empleados de InVision están completamente comprometidos con nuestras políticas de seguridad y privacidad. Todos los empleados deben completar anualmente un curso de protección de datos y seguridad de la información. Es obligatorio completar el curso al 100% y los resultados de los cursos quedan registrados. Por supuesto, el registro cumple con las regulaciones de protección de datos.

Plan de respuesta a incidentes de seguridad

El Plan de respuesta a incidentes de seguridad de InVision es un elemento clave de nuestras políticas de seguridad. Es un protocolo sólido que nos permite tomar medidas correctivas como respuesta a incidentes relacionados con la seguridad de manera efectiva, consistente y temprana. Todas las potenciales amenazas a los datos de los clientes se tratan con la mayor urgencia e importancia. El Plan de respuesta a incidentes de seguridad se activa cuando datos de clientes hayan sido comprometidos o podrían haber sido comprometidos. Nuestros especialistas en seguridad están altamente capacitados para investigar incidentes de seguridad y aplican las mejores prácticas del sector, asegurándose de que se cumplen todas las obligaciones legales. Por ejemplo, en caso de una brecha de seguridad, InVision notifica inmediatamente al oficial de protección de datos, de acuerdo con las obligaciones definidas por el RGPD e incluidas en nuestras medidas técnicas y organizativas.

Las políticas

El conjunto de políticas incluye la seguridad de la información, trae tu propio dispositivo (BYOD), dispositivos móviles y teletrabajo, operaciones de personas, concienciación y formación de seguridad, gestión de activos, control de acceso, seguridad física, gestión de cambios, desarrollo seguro, relaciones con proveedores, gestión de incidentes, continuidad del negocio, cumplimiento legal y un largo etcétera. La mayoría de ellas se refieren a las cláusulas relevantes de la documentación de los estándares del sector, p. ej. la norma ISO/IEC 27001.

Algunos ejemplos:

  • Dispositivos móviles y teletrabajo Esta política está diseñada para prevenir el acceso no autorizado a dispositivos móviles tanto en el interior como en el exterior de las instalaciones de InVision. Establece seis reglas que los empleados deben cumplir cuando quiera que lleven dispositivos móviles de computación fuera de las instalaciones, como no dejar los dispositivos desatendidos, en caso ideal guardarlo bajo llave, mantener el sistema operativo actualizado, usar cifrado y contraseñas, etc. Establece además cinco reglas para el teletrabajo, que incluyen la prevención de acceso no autorizado, la configuración de la red local (LAN), la protección de la propiedad individual de la empresa, así como una lista de tipos de actividades permitidas y prohibidas para los teletrabajadores.
  • Política de uso aceptable de los activos de información El propósito de esta política es definir reglas claras para el uso de sistemas de información y otros activos de información, como ordenadores y smartphones propiedad de InVision. Establece el uso aceptable, p. ej. que solo el empleado tenga acceso a los activos, que no se instale material ilegal o software sin licencia, y que los datos de la empresa no sean transferidos. Se guarda un registro de los responsables de los activos de información, y estos deben ser devueltos al final del contrato de empleo. Es obligatorio adoptar medias de protección ante software malicioso, así como el cumplimiento de normas estrictas para las cuentas de usuario, contraseñas, el uso de internet, correo electrónico y otros servicios de mensajería. Todos los datos creados, almacenados, enviados o recibidos usando los activos de información es propiedad de InVision y la empresa se reserva el derecho de monitorizar los sistemas para asegurar el cumplimiento.
  • Política de control de acceso Está diseñada para definir las reglas de acceso a sistemas, equipos, instalaciones e información de acuerdo con los requisitos empresariales y de seguridad. El principio básico es que el acceso a los sistemas está prohibido a menos que haya sido autorizado explícitamente para usuarios o grupos de usuarios específicos. La política incluye el procedimiento de registro para cada sistema y proporciona perfiles de acceso para varias funciones pertenecientes a la organización, como Ingenería, Ingeniería de plataforma, Finanzas, Operaciones de recursos humanos, Marketing, Soporte técnico y Contratación. Los derechos de acceso se revisan dos veces al año y existe un proceso definido para implementar la política de control de acceso.
  • Política de copia de seguridad Esta política es un componente clave de la política de continuidad de negocio y está diseñada para garantizar que las copias de seguridad se crean y son comprobadas con regularidad. Las copias de seguridad deben ser creadas respetando la política de continuidad de negocio. El equipo de ingeniería de plataforma es responsable de crear copias de seguridad de toda la información, software e imágenes del sistema. Las copias de seguridad deben almacenarse en múltiples ubicaciones de acuerdo con la política, y se deben guardar registros. Se realizan pruebas de restauración con regularidad.
  • Política de gestión de incidentes El propósito de esta política es garantizar la detección temprana de sucesos y debilidad de seguridad para poder ejecutar rápidamente acciones correctivas. Define qué es un suceso de seguridad de la información, un incidente de seguridad de la información, y una debilidad de seguridad. También establece responsabilidades a la hora de informar de sucesos, incidentes y debilidades, y los criterios que se usan para clasificarlos. Además, describe cómo gestionar, notificar y aprender de sucesos menores y mayores.

Más información

Clientes existentes

Si ya eres cliente de injixo, estamos a tu disponibilidad para responder a todas las preguntas inquietudes relacionadas con la seguridad. El equipo de seguridad de InVision está preparado para responder cualquier pregunta que tus equipos de informática, InfoSec, privacidad y cumplimiento pueden tener sobre nuestros productos. Tu consultor estará encantado de ocuparse de todas las preguntas.

Incidentes de seguridad

Si sospechas haber detectado un incidente de seguridad en la plataforma injixo, te pedimos que nos informes mediante un ticket de soporte de alta prioridad. Incluye tantos detalles como puedas, para que nuestro equipo pueda detectar y corregir el problema sin demora.

Clientes nuevos

Si estás en proceso de convertirte en cliente de injixo, y ya estás en contacto con nuestro equipo de ventas, por favor, dirige todas tus preguntas sobre seguridad directamente a ellos. Estarán encantados de ayudarte y, si es necesario, te presentarán a los expertos adecuados de nuestro equipo. Si aún no estás en contacto con nuestro equipo de ventas, puedes ponerte en contacto con ellos a través de este formulario.